LSM Agents

Compliance · DSGVO

DSGVO compliance για Next.js sites: audit, remediation, AVV — σταθερή τιμή.

Απόφαση BGH I ZR 186/17 της 27 Μαρτίου 2025: παραβιάσεις GDPR είναι πλέον UWG-actionable. Ανταγωνιστές μπορούν να καταθέσουν Abmahnungen για τη δική σας παραβίαση. Auditάρουμε το site, παραδίδουμε γραπτό σχέδιο remediation και shippάρουμε διορθώσεις σε 14 ημέρες σε σταθερή τιμή.

TL;DR

  • ·Απόφαση BGH 27/03/2025: παραβιάσεις GDPR είναι πλέον UWG-abmahnbar — ο ανταγωνιστής σας μπορεί να καταθέσει binding cease-and-desist για παραβίαση privacy.
  • ·Συνηθισμένα κενά: Google Fonts από CDN, Analytics χωρίς consent, missing AVV με hosting provider, embedded YouTube χωρίς nocookie variant.
  • ·Μέγιστο πρόστιμο GDPR: €20M ή 4% παγκόσμιου τζίρου (όποιο μεγαλύτερο). Η UWG-Abmahnung είναι ταχύτερη και προκαλεί την ίδια επιχειρηματική ζημιά.
  • ·Παράδοση: 7-day audit (€2.900) → 14-day fixed-price remediation → AVV pack με hosting + voice + analytics processors.

Ποιον αφορά

Ο GDPR ισχύει για κάθε φορέα που επεξεργάζεται προσωπικά δεδομένα κατοίκων ΕΕ — ανεξάρτητα από έδρα. Αν το site σας έχει analytics, contact forms, comments, embedded video, third-party fonts, A/B testing, retargeting pixels ή οποιοδήποτε cookie επιβιώνει το session, επεξεργάζεστε προσωπικά δεδομένα και ισχύει ο GDPR. Hobby projects χωρίς εμπορική πρόθεση τεχνικά εξαιρούνται κατά Art. 2(2)(c) αλλά το όριο είναι "καθαρά προσωπικό" — site portfolio freelancer είναι εμπορικό.

Τι βρίσκουμε σε πραγματικά DSGVO audits

Αυτά είναι τα δέκα πιο συνηθισμένα defects σε Berlin/DACH sites που auditάρουμε. Καθένα είναι ανεξάρτητα actionable από ανταγωνιστή κατά UWG μετά το BGH 03/2025.

  • Google Fonts φορτώνονται από fonts.googleapis.com αντί locally hosted
  • Google Analytics 4 ενεργοποιείται χωρίς προηγούμενο consent
  • Embedded YouTube χρησιμοποιεί standard youtube.com αντί youtube-nocookie.com
  • Hosting provider χωρίς υπογεγραμμένη AVV / Auftragsverarbeitungsvereinbarung
  • Plausible / Fathom / GA φορτώνονται πριν το consent banner
  • Cookie banner με "Reject" κρυμμένο πίσω από κλικ (μετά VG Hannover + SHEIN €150M)
  • Privacy policy χωρίς απαιτούμενες δηλώσεις Art. 13/14 (recipients, retention, data sources)
  • Contact form αποθηκεύει submissions χωρίς TTL ή deletion policy
  • Καμία DPIA για AI / voice / chatbot processing
  • Third-country transfers (US-based services) χωρίς SCC + supplementary measures

Πώς εφαρμόζεται η επιβολή

Τρεις φορείς ρίσκου μετά BGH 03/2025. Πρώτος: η αρχή προστασίας δεδομένων (BfDI ομοσπονδιακά, LfDI ανά Land) μπορεί να επιβάλλει πρόστιμα έως €20M ή 4% παγκόσμιου τζίρου. Δεύτερος: data subjects μπορούν να διεκδικήσουν αποζημίωση κατά Art. 82 — τυπικά €100–€3.000 ανά υπόθεση, class-style aggregation αυξάνεται. Τρίτος — το νέο — ανταγωνιστές μπορούν να καταθέσουν UWG-Abmahnungen, κόστος €1.500–€5.000 σε νομικά έξοδα συν υποχρεωτική remediation υπό απειλή injunction. Ο τρίτος είναι ο πραγματικά ανησυχητικός γιατί δεν χρειάζεται ρυθμιστή.

Πώς τρέχουμε ένα DSGVO project

  1. 01

    Audit (7 ημέρες): automated scanner + manual review σε 12+ αντιπροσωπευτικές σελίδες, όλα τα third-party requests καταγράφονται σε first paint και μετά το consent. Output: γραπτή έκθεση ανά άρθρο + severity.

  2. 02

    Σχέδιο remediation: σταθερή τιμή έναντι της έκθεσης. Critical θέματα (no-consent third-party calls, missing AVV) προτεραιοποιημένα.

  3. 03

    Build (10–14 ημέρες): code-level fixes — local font hosting, consent gating για analytics, nocookie variants, cookie banner replacement αν χρειάζεται.

  4. 04

    AVV pack: υπογεγραμμένα Auftragsverarbeitungsverträge με κάθε subprocessor (hosting, analytics, email, voice/chat providers). Template και tracker παρέχονται.

  5. 05

    Privacy policy refresh: Art. 13/14 audit και rewrite. Common-language version + technical version.

  6. 06

    Monitoring: optional Operator-tier retainer με μηνιαίο third-party-request scan + AVV review σε αλλαγές processor.

Πηγές

DSGVO — συχνές ερωτήσεις

Το site μου είναι μικρό. Ισχύει πραγματικά ο GDPR;+

Ναι. Ο GDPR δεν έχει εξαίρεση ΜΜΕ βάσει μεγέθους. Η εξαίρεση είναι "καθαρά προσωπική ή οικιακή δραστηριότητα" (Art. 2(2)(c)) — οποιαδήποτε εμπορική χρήση, όσο μικρή κι αν είναι, ενεργοποιεί πλήρες πεδίο GDPR.

Είναι όντως πρόβλημα να φορτώνω Google Fonts από CDN;+

Ναι. LG München I 20.01.2022 (3 O 17493/20) έκρινε ότι αποτελεί παραβίαση GDPR και επιδίκασε €100 ηθική βλάβη σε έναν χρήστη. Εκατοντάδες follow-on Abmahnungen 2022–2024. Πάντα self-host fonts.

Χρειάζομαι AVV με τον hosting provider μου;+

Ναι — κάθε processor (hosting, analytics, email-sending, voice synthesis, payment) πρέπει να έχει υπογεγραμμένη AVV κατά Art. 28. Μεγαλύτεροι providers (Vercel, AWS, Stripe) παρέχουν standard versions για ηλεκτρονική υπογραφή. Μικρότεροι μπορεί να χρειαστούν το template μας.

Φτάνει ένα cookie banner;+

Όχι. Το cookie banner είναι ένα κομμάτι. Χρειάζεστε επίσης: lawful basis για κάθε cookie, Art. 13 disclosures, processor AVVs, server-side enforcement (μην φορτώνετε analytics script πριν το consent — banner μόνο είναι θέατρο).

Πόσο διαρκεί συνήθως το remediation;+

7-ήμερο audit + 10–14 ημέρες remediation = ~3 εβδομάδες end-to-end. Μεγαλύτερα sites με custom CMS ή πολλές third-party integrations 4–6 εβδομάδες.

Πόσο κοστίζει;+

Μόνο audit: €2.900 σταθερή. Audit + remediation: €4.900–€14.000 ανάλογα με τα προβλήματα. Διαμορφώστε στον calculator.

Configure your scope →

← Back to compliance overview